خبر هک شدن GoDaddy، بزرگترین شرکت هاستینگ دنیا، موجی از شوک و نگرانی را در صنعت میزبانی وب ایجاد کرده است. این شرکت روز جمعه ۱۷ فوریه اعلام کرد که هکرهای ناشناس به مدت سه سال بهصورت کاملاً مخفیانه به شبکه داخلی GoDaddy دسترسی داشتهاند. مهاجمان پس از نفوذ به محیط cPanel هاستهای اشتراکی، موفق به سرقت کدهای منبع (Source Codes)، اطلاعات ورود مشتریان و کارکنان و حتی نصب بدافزار روی سرورهای این غول هاستینگ شدهاند.
این اتفاق در حالی رخ میدهد که GoDaddy پیشتر در دسامبر ۲۰۲۲ گزارشهایی مبنی بر هدایت وبسایتهای مشتریان به دامنههای ناشناخته و مشکوک منتشر کرده بود. طبق گزارشهای رسمی، هکرها طی سالهای ۲۰۲۰ تا ۲۰۲۲ در سه حمله جداگانه توانستهاند از شبکه GoDaddy سوءاستفاده کرده و ترافیک سایتهای آسیبپذیر را به مقصدهای نامشخصی هدایت کنند. خوشبختانه مهاجمان به حسابهای اصلی شرکت دسترسی پیدا نکردهاند.
شرکت GoDaddy که بهعنوان بزرگترین ثبتکننده دامنه و ارائهدهنده خدمات میزبانی وب در جهان شناخته میشود، حدود ۲۱ میلیون مشتری دارد و سالانه نزدیک به ۴ میلیارد دلار درآمد کسب میکند. این برند تا امروز بیش از ۷۸ میلیون دامنه را به ثبت رسانده و حدود ۱۶ درصد از سهم بازار هاستینگ جهانی را در اختیار دارد.
افشای حملات زنجیرهای علیه GoDaddy
شرکت GoDaddy در بیانیهای رسمی اعلام کرد که حمله سایبری اخیر تنها یک رخداد مجزا نبوده، بلکه بخشی از یک رشته حملات سازمانیافته در چند سال گذشته است. به گفته این شرکت، مهاجمان با نصب بدافزار روی سرورهای داخلی موفق به سرقت کدهای منبع برخی سرویسهای GoDaddy شدهاند. تحقیقات در این زمینه همچنان ادامه دارد.
بر اساس گزارش GoDaddy، حملات سایبری پیشین در مارس ۲۰۲۰ و نوامبر ۲۰۲۱ نیز به همین گروه هکری حرفهای مرتبط میشود. در حمله نوامبر ۲۰۲۱، مهاجمان با دسترسی به رمزهای عبور و کدهای منبع پلتفرم هاستینگ وردپرسی (MWP) موفق شدند اطلاعات حساس حدود ۱.۲ میلیون کاربر را افشا کنند. دادههای سرقتشده شامل آدرسهای ایمیل، گذرواژههای وردپرس، اطلاعات ورود به پایگاهداده، دسترسی SFTP و حتی کلیدهای خصوصی SSL برخی وبسایتها بود.
همچنین در نقض امنیتی مارس ۲۰۲۰، GoDaddy هشدار داد که مهاجمان از اکتبر ۲۰۱۹ به اطلاعات SSH دسترسی یافته و از نامهای کاربری و رمزهای عبور مشتریان برای ورود به حسابهای هاستینگ استفاده کرده بودند. این موضوع دستکم ۲۸ هزار کاربر را تحت تأثیر قرار داد.
تداوم بحران امنیتی در GoDaddy؛ از حملات فیشینگ تا سوءاستفاده از DNS
مقامات شرکت GoDaddy در بیانیهای که روز پنجشنبه ۱۶ فوریه منتشر شد، اعلام کردند:
«طبق بررسیهای ما، هدف اصلی این گروه هکری آلودهسازی سرورها و وبسایتها از طریق حملات فیشینگ، توزیع بدافزار و سایر فعالیتهای سایبری مخرب بوده است.»
این شرکت در بیانیه دیگری نیز ضمن عذرخواهی از مشتریان تأکید کرد:
«ما بابت مشکلاتی که برای کاربران و بازدیدکنندگان وبسایتهای GoDaddy پیش آمده عذرخواهی میکنیم. از این حملات درسهای مهمی گرفتیم و تمام توان خود را برای افزایش امنیت و محافظت از دادههای مشتریان به کار خواهیم گرفت.»
با این حال، سه حمله متوالی به شبکه GoDaddy باعث شده این تعهدها چندان اطمینانبخش به نظر نرسد. این شرکت همچنین اعلام کرده است که همچنان رفتارهای این گروه هکری را تحت نظر دارد، شواهد بیشتری جمعآوری میکند و برای جلوگیری از حملات آینده با نهادهای قانونی همکاری خواهد کرد.
نقصها و آسیبپذیریهای امنیتی در GoDaddy سابقهای طولانی دارند. بهعنوان نمونه، در سال ۲۰۱۹ یک پیکربندی اشتباه در سرویس DNS این شرکت موجب شد هکرها کنترل وبسایتهایی متعلق به برندهای بزرگی همچون Expedia، Yelp و Mozilla را به دست بگیرند و از صفحات آنها برای باجگیری و تهدید به حملات بمبگذاری استفاده کنند. این در حالی بود که آسیبپذیری DNS سه سال پیشتر شناسایی شده بود. کارشناسان هشدار دادهاند که در صورت اثبات کوتاهی GoDaddy در حفظ امنیت سایبری، ممکن است این شرکت با جریمههای سنگینی از سوی سازمان SEC مواجه شود.
افزون بر این، در همان سال یک پژوهشگر امنیتی گزارش داد که مهاجمان از صدها حساب کاربری GoDaddy برای ایجاد بیش از ۱۵ هزار وبسایت تبلیغاتی استفاده کردهاند؛ سایتهایی که محتوای هرزنامه و تبلیغات محصولات لاغری و موارد مشابه را منتشر میکردند.
تردیدها درباره امنیت GoDaddy؛ انتقادها از ضعف MFA و تاخیر در افشای حملات
شرکت GoDaddy در گزارشی تازه اعلام کرد:
«بهعنوان یکی از بزرگترین اپراتورهای اینترنتی، همواره در معرض حملات سایبری قرار داریم. برخی از این حملات پیچیده شامل تهدیدات مستمر پیشرفته (APT) و حملات روز صفر (Zero-Day) هستند.»
با وجود این اظهارات، منتقدان از بیتوجهی GoDaddy به امنیت انتقاد کرده و میگویند میزان استفاده این شرکت از سیستم احراز هویت چندعاملی (MFA) بسیار پایین است. در مقابل، GoDaddy در واکنش به انتقادات مدعی شد:
«پس از تایید حمله اخیر بلافاصله اوضاع را تحت کنترل درآوردیم و برای جلوگیری از تهدیدات احتمالی آینده اقدامات امنیتی لازم را انجام دادیم.»
این شرکت همچنین افزود:
«حملات سایبری اخیر و سایر تهدیدات مشابه تاکنون تاثیر مستقیمی بر کسبوکار ما نداشتهاند. با این حال، ماهیت متغیر این حملات، شناسایی و مقابله با آنها را دشوارتر میکند.»
کارشناسان امنیتی اما دیدگاه دیگری دارند. نیک فرانس (Nick France)، مدیر ارشد اطلاعات در شرکت Sectigo، هشدار داده است:
«آسیبپذیری شرکتهای هاستینگ و زیرساختهای DNS میتواند به هک شدن کلیدهای خصوصی گواهینامههای دیجیتال منجر شود.»
ریچارد هالیس، مدیرعامل Risk Crew نیز در گفتوگو با Spiceworks گفت:
«وقتی ۲۰ میلیون مشتری GoDaddy متوجه شوند شرکت مورد اعتمادشان قربانی حملات برداری (Vector Attack) شده، این یک شکست بزرگ و روزی بسیار تلخ برای آنها خواهد بود.»
همچنین جولیا اوتول، مدیرعامل MyCena، در مصاحبهای جداگانه اظهار داشت:
«اینکه GoDaddy برای چندمین سال متوالی دچار نقض امنیتی میشود، واقعا شرمآور است. بدتر از آن، اینکه چرا این شرکت نقض اطلاعات دسامبر ۲۰۲۲ را تا فوریه ۲۰۲۳ پنهان کرده و با تاخیر افشا کرده، جای سوال جدی دارد.»
منبع خبر : bleepingcomputer ،pcmag ،wired
1 دیدگاه. Leave new
Thank you very much for sharing, I learned a lot from your article. Very cool. Thanks. nimabi